Pascal Bornet (uno dei guru dell’Intelligent Automation e coautore del libro “Intelligent Automation – welcome to the world of Hyperautomation”) […]
Qualche giorno fa è stato rilasciato un avviso riguardante “FREAK”, vulnerabilità TLS/SSL; successivamente Microsoft ha comunicato che anche i sistemi operativi Windows sono vulnerabili.
Milioni di personal computer, dotati di sistema operativo Windows, risultano quindi interessati dal questa falla di sicurezza, vecchia di decenni.
“FREAK” è il risultato di una vecchia politica del governo degli Stati Uniti che ha richiesto alle “software-house” statunitensi di utilizzare la protezione più debole in programmi di crittografia venduti all’estero. Anche se la politica è stata modificata nel 1990, la crittografia più debole è stata ancora utilizzata nel software attualmente utilizzato.
“FREAK” sfrutta una vulnerabilità (classificata CVE-2015-0204), con cui un hacker può obbligare un server ad accettare una chiave crittografica debole; utilizzando poi un sistema di computing distribuito per crackare la suddetta chiave nel giro di poco tempo (ore).
Una volta compromessa la chiave crittografica, il malintenzionato può impersonare un sito Web vulnerabile e condurre attacchi di tipo “man-in-the-middle” nei confronti dell’utente, dei suoi dati e di qualsiasi altra cosa passi per la connessione messa sotto controllo, incluse le password e le informazioni sulla carta di credito.
Microsoft ha rilasciato il seguente avviso di sicurezza:
“Microsoft è a conoscenza di una vulnerabilità che supera le funzioni di sicurezza del “Secure Channel”, interessando tutte le versioni supportate di Microsoft Windows “.
Microsoft non ha ancora sviluppato una “patch” di sicurezza per i suoi dispositivi ma sta lavorando per la soluzione. Una volta pronta verrà resa disponibile durante il rilascio mensile di patching oppure mediante un aggiornamento ad-hoc.
Nel frattempo, gli utenti di Windows, possono utilizzare dei browser web non interessati dalla falla “FREAK” per una maggiore sicurezza, tra cui Google Chrome e Mozilla Firefox.
Link:
https://technet.microsoft.com/en-us/library/security/3046015.aspx
http://punto-informatico.it/4230599/PI/News/freak-vulnerabilita-tlsssl-giornata.aspx
http://punto-informatico.it/4231303/PI/News/freak-un-problema-anche-windows.aspx